从淘宝的漏洞看安全的危机公关

  • Post author:
  • Post category:IT
  • Post comments:0评论

 

昨天有阵子很热闹,有人在乌云上报告了一个淘宝的登录任意账户的漏洞,因为淘宝可以直接免登录到支付宝,所以利用这个账户可以直接进入支付宝账户。

 

我当时看到这个漏洞就感觉问题很严重,就跟阿里的朋友说,这种漏洞,必须在一个小时内修补。因为算上发现,到响应,找到对应的人,提出解决方案,快速直接在线上修改(不可能有严格的测试时间),总是要花一些时间的。

 

同时我开始找圈内的朋友打听漏洞细节,因为在厂商修复前,乌云是不会披露漏洞细节的。就在我们刚拿到细节分析时,就发现阿里已经修复了,响应速度比我想象的还要快一些。

 

漏洞的细节可以查看这两天的知乎日报,上面有一篇对这个漏洞的详细分析过程。

 

昨天也有很多朋友希望我点评一下这个漏洞,我犹豫了很久。犹豫的原因是不希望对阿里造成一些负面影响,因为这样的负面新闻很容易被别有用心的人或者公司拿去当枪始,比如我已经看到昨天有新闻标题是关于「余额宝不安全」之类的屁话了。

 

就漏洞本身来说,是没有办法直接从支付宝里提钱的,因为还有支付密码这一道关卡。而且由于阿里的快速响应,我个人的判断是这个漏洞还没有来得及形成危害,也就是说还没有用户因此被盗,或者是导致大量信息泄露,就被及时封堵了。

 

但这些话是没法证明的,而且总会有些别有用心的人以「莫须有」的方式把帽子扣到支付宝头上去。

 

今天看到了淘宝的官方回应,给我的感觉是淘宝在面对安全问题的心态上终于成熟了,这是在一次次血泪教训中成长起来的。淘宝是这么回应的:

 

「今天下午,我们接到反馈称有用户可随意查询淘宝账户,经过我们的排查,确认这是近期一个新业务引起的短时漏洞,我们在收到反馈后第一时间快速完成了修复。目前已经确认没有用户因为此漏洞引发资金风险及损失。

 

非常感谢今天反馈该问题的人士,我们将对您予以5万元现金奖励!同时我们今年仍将拿出500万元重奖帮助我们发现漏洞的白帽子,并欢迎大家来security.alibaba.com报告漏洞。」

 

这里面其实很有讲究:

 

1. 阿里没有否认这个漏洞。

 

对比05年时愚蠢的否认支付宝控件漏洞,这次成熟多了。纸是捂不住火的,掩耳盗铃的做法只会损失正面形象。

 

2. 将漏洞的危害与后果直接了当的说出来,安抚用户的恐慌情绪。

 

因为漏洞并不等于造成危害,这中间有一个过程。不管阿里有没有说真话,至少客户的恐慌情绪得到了安抚。

 

3. 五万元现金奖励不多不少。

 

之前行业里最大的单笔奖金额度是腾讯发给黑哥的20万。但那是因为黑哥连续给腾讯报了一年的漏洞。单笔5万元的现金奖励对于大多数是屌丝的白帽子来说已经相当有吸引力,足够起到一个榜样的作用,也给未来提升奖励额度留下了空间。同时从侧面来看,阿里也是被这个漏洞吓到了,所以处理的非常果断。

 

4. 提出500万元的奖励计划。

 

这是迄今为止行业的最高奖励额度,之前腾讯和360都只给出了一两百万。

 

阿里摆出的是一个姿态:我们对白帽子们是持有开放的心态,我们不怕出安全问题,我们用于承担责任,我们鼓励白帽子来发现我们的问题,接受监督。

 

我想到了在陈冠希的艳照门时,当时有谣言称艳照门女主角里还有蔡依林,于是网民们无不翘首以盼。而蔡依林的应对措施是果断悬赏一个亿,迅速打消了种种猜想。阿里在此时悬赏500万,有异曲同工之妙,就是为了给客户一种信心:我们是安全的。

 

5. 请白帽子直接将问题提交给阿里。

 

这次白帽子直接提交到乌云,让阿里非常被动。如果是提交给阿里,可能这问题就内部消化掉了,也不会让大家出一身的冷汗。所以这次以后,如果还有白帽子想拿这500万,可能就得单独找阿里了。

 

阿里这连消带打的一套组合拳,成功的将事件的影响化到了最小,非常值得其他公司借鉴。

 

同时,常在河边走,哪能不湿鞋。安全是一个持续的过程,不要想着永远不出安全问题,而应该看出了安全问题后,如何快速响应,如何把风险控制在最小。阿里的安全团队磨练了这么多年,已经是相当不容易了。

 

(今日题图:separation of state,作者:Richard Davis)

 

==== 道哥的黑板报 ====

走在创业道路上的文艺白帽子。

微博、知乎:aullik5

http://taosay.net

微信公号:道哥的黑板报,微信ID:taosay

发表回复